安全な環境では、信頼できるイニシエータだけがターゲットにアクセスできるため、iSCSI デバイス用の認証は必要ありません。
安全性が不足している環境では、ターゲットは接続リクエストが指定されたホストからなのかどうかを判断できません。この場合、iSCSI ターゲットはチャレンジハンドシェーク認証プロトコル (CHAP) を使ってイニシエータを認証できます。
CHAP 認証ではチャレンジと応答の概念が使用され、つまり、ターゲットがイニシエータに対して身元の証明を要求します。このチャレンジおよび応答方式が機能するには、ターゲットがイニシエータの秘密鍵を知っており、かつイニシエータがチャレンジに応答するように設定されている必要があります。秘密鍵をアレイ上に設定する手順については、アレイベンダーのドキュメントを参照してください。
iSCSI は、次の単方向および双方向の認証をサポートします。
単方向認証では、ターゲットがイニシエータの身元を認証できます。単方向認証はターゲットのために行われるもので、イニシエータを認証します。
双方向認証では、イニシエータがターゲットの身元を認証できるようにすることで、二次レベルのセキュリティーを追加します。双方向認証はイニシエータ主導で行われ、双方向認証を実行するかどうかはイニシエータにより制御されます。ターゲットに求められる設定は、CHAP ユーザーと CHAP 秘密鍵を定義することだけです。
集中管理認証サービスとして機能する他社製の RADIUS サーバーを使用することで、CHAP 秘密鍵の管理を簡略化できます。RADIUS を使用するときに、RADIUS サーバーにはノード名と、一致する CHAP 秘密鍵のセットが格納されます。認証を実行するシステムは、要求元のノード名および提供された要求者のシークレットを RADIUS サーバーに転送します。RADIUS サーバーは、秘密鍵が、指定されたモード名を認証するのに適切な鍵かどうかを確認します。iSCSI と iSER のどちらも、RADIUS サーバーの使用をサポートします。
サードパーティー RADIUS サーバーの使用に関する詳細は、サードパーティー RADIUS サーバーを使用して iSCSI 構成内の CHAP 管理を簡略化するを参照してください。